検索
連載

「クラウドベースのDDoS攻撃対策」徹底解説DDoS攻撃クロニクル(4)(1/3 ページ)

DDoS攻撃の“歴史”を振り返ることを通じて、有効なDDoS攻撃対策について考える本連載。第4回では、クラウドベースのDDoS攻撃対策の仕組みとその効果について解説する。

Share
Tweet
LINE
Hatena
「DDoS攻撃クロニクル」のインデックス

連載目次

 DDoS攻撃の歴史を振り返りながら、有効なDDoS攻撃対策について考える本連載。前回までは、DDoS攻撃を防止することが現在のインターネットの仕組みでは困難であることや、Webサイトを構成する要素の全てが攻撃対象となり得ること、攻撃を受けたWebサイト側でとれる有効な対処方法は極めて限られていることを説明した。第4回となる今回は、「クラウドベースのDDoS対策機構」を紹介し、その効果を解説する。

DDoS対策の3要素

 第2回で、Webサイトの運営を継続するために必要なDDoS対策の要素として、以下の3つを挙げた。

a)混雑し始めたWebサイトを特定する
b)そのWebサイトに向けた通信要求を、発信元近くで認識する
c)攻撃パケットと正規パケットを区分し、攻撃パケットのみを遮断する

 第2回でも述べた通り、これらの対策をインターネットの基盤に埋め込むことは困難である。だが、これらの機能をアプリケーションとして実装し、十分な能力を持つ動作プラットフォーム上に展開することができれば、問題を解決できはしないだろうか?

 この考え方を実践したのが、今回紹介するクラウドベースのDDoS対策の仕組みである。この仕組みとして現在実用化されているものには、大きく分けて2つの系統が存在するが、本稿ではその1つである、「CDN(コンテンツデリバリーネットワーク)」上に実装された技術を紹介しよう。

CDN(コンテンツデリバリーネットワーク)とは

 初めに、CDNについて説明しておこう。1990年代半ばに一般消費者のWebアクセス環境が整うと、企業などはこぞってWebサイトによる情報発信を開始した。その結果、「人気のあるWebサイトにアクセスが集中し、過負荷により閲覧できなくなってしまう」という問題に、多くの企業やユーザーが直面することとなった。

 CDNは、このようなサイトの混雑による問題を解決し、Webのコンテンツを効率的に配信するために考案された仕組みである。その基本的な考え方は、以下の通りとなる。

  1. アクセスの1点集中による混雑を避けるため、複数の拠点にサーバを用意し、人気のあるコンテンツを分散配置する
  2. ユーザーからのアクセスを複数のサーバに分散誘導し、本来のWebサイトに代わって応答させる
図1 CDNによるアクセス集中の回避
図1 CDNによるアクセス集中の回避

 CDNの多くは、Webサイトのコンテンツを複数サーバに事前配置するのではなく、一度ユーザーが要求したコンテンツを本来のWebサイト(オリジンと呼ぶ)から取得・配信すると同時に、一定時間そのコピーをキャッシュとしてCDNサーバに保持し 、次回以降のアクセス時には、キャッシュからコンテンツを返送する仕組みをとる。

 このCDNを用いれば、キャッシュされたコンテンツへのアクセスはオリジンに届くことなくCDNサーバで折り返され、キャッシュしていないコンテンツのみをオリジンから取得することになる。そのため、キャッシュされるコンテンツの割合が大きいほどオリジンへのアクセスが減り、Webサイトの混雑発生確率も下がる。

 CDNは、契約している顧客のWebサイトに対するアクセスを、自らのプラットフォーム(サーバ)に引き込んで代理応答を行う。このとき、一般的にはDNSの別名登録を用いることにより、該当のWebドメインに対する名前解決の問い合わせをCDN側が運営する権威DNSに誘導し、Webコンテンツのキャッシュを持っているサーバのIPアドレスをクライアントに通知する方法がとられる。

図2 CDNへの引き込み
図2 CDNへの引き込み

 従って、攻撃トラフィックを生み出している攻撃クライアントに対しても、CDNサーバへの誘導が行われる。Webサイトに対する攻撃は、最初にCDNサーバに加わることになるのである。

Copyright © ITmedia, Inc. All Rights Reserved.

       | 次のページへ

Security & Trust 記事ランキング

  1. 日本人の約半数が「1年前より危険」と考えるオンライン詐欺とは マカフィーがホリデーショッピング詐欺に関して調査
  2. 増える標的型ランサムウェア被害、現場支援から見えてきた実態と、脆弱性対応が「限界」の理由
  3. Google Cloudがサイバーフィジカルシステムのレジリエンスを高める10の指標を解説 最初にすべきことは?
  4. ランサムウェア攻撃を受けた企業、約6割が「サプライチェーンのパートナー経由で影響を受けた」 OpenText調査
  5. NIST、3つのポスト量子暗号(PQC)標準(FIPS 203〜205)を発表 量子コンピュータ悪用に耐える暗号化アルゴリズム、どう決めた?
  6. OpenAIの生成AIを悪用していた脅威アクターとは? OpenAIが脅威レポートの最新版を公開
  7. 正規通信との区別はほぼ不可能な「偽のMicrosoftメール」に注意、「従来のセキュリティでは認識しにくい」のはなぜ? 対策は?
  8. 6年間でAndroidにおけるメモリ安全性の脆弱性を76%から24%まで低減 Googleが語る「Safe Coding」のアプローチと教訓とは
  9. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
  10. 「OpenSSH」サーバにリモートコード実行の脆弱性、「OpenSSH 9.8p1」で修正
ページトップに戻る